Konfigurace asi FW

[kenny_com]

Zdravim vsechny,

uz par dni jsem projizdel forum a zkousel ruzne pokusy avsak bez uspechu.
U dedy v hospode mu spravoval internet nejakej typek ze vsi, ale bohuzel se odstehoval a deda ted pozadal me. Ze pry se venuji pocitacum tak tohle musim umet taky. Par Mikrotiku jsem konfiguroval, ale asi jsem nikdy nepotreboval resit veci tohodle typu.
Popisu situaci: jako router je RB951 pak je tam switch UBNT, AP UBNT a kamery Hikvision.
Na RB bezi 2x DHCP. Jedno pro VLAN, ktera obsluhuje WiFi pro zakazniky a jedno pro 3x PC kde bezi pokladni system. WiFi klienti dostavaji rozsah 192.168.20.1-254, pocitace dostavaji rozsah 192.168.10.1-254 a kamery maji staticke adesy v rozsahu 192.168.50.10-20.

Moc konfigurace v routeru neni. Vicemene je tam jenom to co jsem popsal.
Konfigurace mikrotiku je pro me relativne novinka. Zkousel jsem si cist na rootu nejake clanky a toku paketu atd, ale nejsem z toho moc moudry

Dokaze mi prosim nekdo aspon malilinko pomoci ? Nevim zdali myslenku nejak uplne neupravit od zacatku, nebo jen dodelat nejaka pravidla, ktera udelaji to ze to bude takto fungovat i na dale, ale z WiFi nebudou videt kamery ani pokladni pocitace, a z pokladnich pocitaci bude pristup pouze ke kameram a nikoli do site WiFi...

Dekuji pekne.

[pavel1tu]

Nechapu, pokud to je nakonfigurované, je potřeba něco měnit ?

[kenny_com]

Ted to funguje tak ze sice vsechno pouziva svuj rozsah, ale vysledek by mel bejt takovy ze, na kamery by melo byt videt pouze z pokladniho systemu, a uzivatele kteri jsou pripojeni na WiFi nameji videt ani do kamer ani na pokladni system. Asi jsem to spatne popsal omlouvam se.

[Robotvor]

Píšeš, že je tam pro klienty VLAN a na něm zvlášť DHCP tím pádem by to nasebe vidět nemělo už ted.

[kenny_com]

A to je prave ten hacek, vidi a je videt i do kamer ....

[whatever]

Tak tak, pokud zakaznik na WiFi dostane 192.168.20.x a IP kamera ma 192.168.50.x tak ji nemuze videt a i IP adresa 192.168.50.x bude nedostupna viz treba ping

[kenny_com]

Taky jsem si to myslel, ale bohuzel tomu tak neni.

Bohuzel ted nemam pristup do toho RB u dedy, ted mam po ruce RB750 zkusim si to na ni nastavit podle toho jak si pamatuji jak je to u dedy a jeste jednou si to otestuji....

[Jeri]

Rozsahy na sebe, samozřejmě, uvidí, protože brány visí na tom samém zařízení a to je tak má ve své routovací tabulce.

Firewall není nic strašidelného. V tomto případě, pokud jsi ve winboxu:

ip > firewall > záložka filter rules > přidat
General:
chain - forward
src address - 192.168.20.0/24
dst address - 192.168.50.0/24

Action:
drop

=> cokoliv co půjde z rozsahu 192.168.20.0/24 na rozsah 192.168.50.0/24 se prostě zahodí. Stejným způsobem vytvořit druhé pravidlo pro limit na rozsah 192.168.10.0/24 a je hotovo.
Když si budeš chtít vyhrát, tak ve firewall > adress list se dá založit vícero adres / rozsahů pod jeden název a při vytváření pravidel se v záložce advanced dá tento název vybrat a tím všechno založit pod jedno pravidlo.

[Noxus28]

alebo vytvoriť len jedno pravidlo a to aby wifi klienti mohli len na internet a nikam inam

ip > firewall > filter rules > +
chain - forward:
src address - 192.168.20.0/24
out interface - ! "interface kde máš strčený prívod do internetu"
action:
drop

[kenny_com]

Cupr, to je presne co jsem potreboval....

Oba oba dva zpusoby jsem si vyzkousel na na testovaci RB750 to funguje.
Jeste mam dotaz, nemam moznost si to ted vyzkouset, ale at uz pouziju jeden nebo druhy zpusob, zabranim tim ikdyz se nekdo pripoji na WiFi a zpusti tam trebas nejak utilitu od Hikvision na vyhledavani jejich kamer(ted presne nevim jak se ten nastroj jmenuje) tak by ty kamery nemel pres to vubec najit ? Protoze vim, ze kdyz jsem prelezal fora, tak se tam nekde psalo, ze ten vyhledavaci protokol funguje trosku jinak....

Pak jeste jeden dotaz, ten zpusob s tim dropni vsechno co nejde na wan port mi zabrani i komunikaci mezi klienty ve stejnem rozsahu ?

[Noxus28]

Nie, drop zahodí všetko co by smerovalo na iní interface ako internet. Local veci ktoré ani neprídu na vstup toho mikrotiku ale vyriešia sa už na AP to nerieši. To by si musel nastaviť na AP (ak má takú možnosť).


Utilitu od hikvision bohužiaľ nepoznám. Ak používa ip broadcast tak nič neuvidí.

[Jeri]

Co psal Noxus, je čistší řešení.

Ohledně čmuchání, psal jsi, že máš oddělené VLAN pro klienty a pro kamery + pokladnu. V tu chvíli nemusíš nic řešit, protože jsou oddělené po L2 právě VLANou a po L3 jsme to zakázali firewallem.
Kdyby to nebylo na oddělených VLANách, tak mikrotik má na bezdrátech v záložce wireless možnost "default forward", což zapříčiní, že jednotliví klienti na AP se mezi sebou nevidí. Jestli něco takového má i UBNT, to netuším. Na switchi se musí hledat funkce port isolation.

[kenny_com]

Čau lidi,

tak se sem vracím se záhadou.

Když jsem si na svém "testovacim" routeru vytvoril pravidlo pro oddeleni rozsahu s chainem forward, tak to fungovalo. Ted jsem to same zkusil uz na svem routeru, kde problem resim a pravidla vubec nic nedeleji. Az kdyz zmenim chain na input tak se navzajem nepingnu.

Nějaká rada prosím ?

[patrik_]

koukni se jestli na tom svém máš zapnutý connection tracking: ip->firewall->connection->tracking
by mělo být enable.

[kenny_com]

Měl jsem přepnuto na auto, což podle webu znamená vypnuto. Zapnul jsem to a stejně ikdyž pravidla dam chain forward, tak pravidla nefunguji. Fungují pouze když je chain input

EDIT: Pardon omlouvám se, už jsme přišel na to kde je problém. Ja si totiž pingal adresu z rozsahu, kterou má přiřazenou rozhraní na mikrotiku. Což s chainem forward na mikrotika dojde, ale už to nepustí dal ....když pingám už zařízení v tom rozsahu kam chci blokovat tak už to funguje jak ma...